Suricata联动实验

一、学习理由

目前网络中有关Arkime搭建的有效资料比较少，对于很多初学者而言搭建Arkime系统时往往要走很多弯路，通过学习本视频可以让网络工程师，在1~2小时内，学会在实验环境中搭建Arkime平台。

二、Arkime功能

Arkime是Moloch的升级版，主要功能如下：

1.可实现完整数据包捕获以及日志形式的网络流量数据（供Zeek分析使用）由于使用了轻量级转发器，有着高性能特征。

2.具有专业的仪表盘，提供网络流量的可视化功能。

3.安装简单，新版软件提供了基于Docker容器集群的功能。使Arkime能高效的在各种平台上部署。

应用广泛，Arkime使用在Security Onion和SELKS系统。

三、实验部署方式：单主机部署

单机部署比较简单，从交换机过来的镜像流量，保存pcap格式数据，然后将所有网络流量直接送入Elasticsearch建立存储索引，在通过viewer启动的Web界面供网络其他主机调用。流程图如下图所示。

四、Arkime核心组件功能

1）Capture：监控网络流量的服务器，将其以PCAP格式保存到磁盘，分析捕获的数据包，同时将元数据发往Elasticsearch；

2）Viewer ：为每个 Capture 服务进程运行 node.js 应用程序。用来处理 PCAP 文件，实现到WebUI的转换；

3）Elasticsearch：为 Arkime 提供索引功能；

五、生产环境Arkime的硬件配置（初学跳过）

生产环境中该软件工作中造成CPU和磁盘的负载都非常高。所以下面给出一个硬件参考值

CPU    2 X 6 

RAM   64～96GB

Disk storage         RAID 1  （SSD更加）

六、课程主要内容

1）操作系统安装

2）Arkime安装配置

3）配置文件讲解

4）和Suricata联动